|
|||||||
|
|
|
 |
|
|
Strumenti |
02-02-2008, 12:56
|
#1 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 152
|
[win xp] win32.delf.dbu virus
Ho un sistema xp infetto da win32.delf.dbu ke ha modificato i file explorer.exe
xbgxdgn.exe e il kav 7 nn riesce e disifettarli nn posso logicamente rimuovere i files xkè sono essenziali a windows per il funzionamento, questa scansione è stata fatta da un pc pulito dove vi ho collegato come slave il disco con il SO sospetto.....qualcuno a qualke novita so questo virus uscito mi sembra di aver capito il 28 gennaio 2008 |
|
|
|
02-02-2008, 13:42
|
#2 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
ciao,
prova a seguire la guida alla disinfezione li c sono ottimi prrogrammi, con funzioni diverse, provali e posta i log e vediamo cosa trova ciascuno... MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: 1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download. E' preferibile pubblicare i log in un unico post, separatamente, non zippateli |
|
|
|
|
02-02-2008, 14:45
|
#3 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 152
|
ho visto la guida ma credo ke nn risolva il mio problema in quanto io il virus l'ho rilevato ma i files nn possono essere disifentatti almeni il kav 7 nn ci riesce.
E cmq la scansione è stata fatta sul disco sospetto con sistema operativo non in uso perchè l'ho attaccato ad un altro pc. questo è il log di hijackthis C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\DriveCleaner Free\udc6cw.exe C:\Programmi\DriveCleaner Free\udc6cw_wd.exe C:\Programmi\File comuni\DriveCleaner Free\dnse.exe C:\Programmi\File comuni\DriveCleaner Free\dcsm.exe C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\Programmi\MySpace\IM\MySpaceIM.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\Programmi\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Programmi\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programmi\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programmi\Lexmark 4300 Series\lxcemon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programmi\Lexmark 4300 Series\ezprint.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programmi\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [DriveCleaner Free] C:\Programmi\DriveCleaner Free\UDC.exe /min O4 - HKLM\..\Run: [udc6cw] "C:\Programmi\DriveCleaner Free\udc6cw.exe" -c O4 - HKLM\..\Run: [udc6cw_wd] "C:\Programmi\DriveCleaner Free\udc6cw_wd.exe" -c O4 - HKLM\..\Run: [dnse] "C:\Programmi\File comuni\DriveCleaner Free\dnse.exe" -c O4 - HKLM\..\Run: [Salestart] "C:\Programmi\File comuni\DriveCleaner Free\dcsm.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MySpaceIM] C:\Programmi\MySpace\IM\MySpaceIM.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Programmi\MySpace\IM\MySpaceIM.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [MySpaceIM] C:\Programmi\MySpace\IM\MySpaceIM.exe (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1187080115125 O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://martinah92.spaces.live.com/Ph...d/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E1B2D14-5460-4B3B-A3AF-1DED5AC2EA32}: NameServer = 85.255.115.156,85.255.112.120 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.156 85.255.112.120 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.156 85.255.112.120 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.156 85.255.112.120 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing) O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.e |
|
|
|
|
02-02-2008, 15:00
|
#4 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
1- ti ho indicato come postare i log, che peraltro il tuo log di hijackthis è incompleto, la parte iniziale è importante
2-li nella guida sono indicati programmi diversi che agiscono in modo completamente diverso tra loro e con finalità diverse... x intenderci: kaspersky nn è il deux machina.....nn è che se nn c riescie kaspersky allora nn c'è speranza.... decidi tu..... |
|
|
|
|
02-02-2008, 16:10
|
#5 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 152
|
nn offenderti se nn ho preso in considerazione il tuo consiglio.
Cmq ho un po di esperienza...circa 12 anni nel campo, e volevo sapere se qualcuno l'aveva gia' rimosso perchè nn volevo sbattermi + di tanto |
|
|
|
|
02-02-2008, 16:13
|
#6 | ||
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
Quote:
|
||
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:22.
